Balada Injector

De acordo com pesquisadores de segurança, uma campanha de ataque em andamento que entrega malware rastreado como o Balada Injector conseguiu infectar mais de um milhão de sites WordPress. Acredita-se que a operação maliciosa esteja ativa desde pelo menos 2017. Os cibercriminosos usam uma ampla gama de técnicas diferentes para explorar vulnerabilidades conhecidas e recém-descobertas em temas e plug-ins do WordPress, permitindo-lhes obter acesso aos sites visados.

O relatório detalhando o Injetor Balada, divulgado pela empresa de segurança Sucuri, afirma que novas ondas de ataque ocorrem a cada duas semanas. Existem vários sinais de assinatura dessa atividade maliciosa específica, incluindo o uso de ofuscação String.fromCharCode, a implantação de scripts ruins em nomes de domínio recém-registrados e redirecionamentos para vários sites fraudulentos. Os sites infectados são usados para uma variedade de fins fraudulentos, incluindo suporte técnico falso, fraudes de loteria e páginas CAPTCHA desonestas que incitam os usuários a ativar as notificações para verificar se não são robôs, permitindo assim que os invasores enviem anúncios de spam.

O Balada Injector Explora Inúmeras Vulnerabilidades de Segurança

Durante o tempo em que foi implantado, a ameaça Balada Injector recorreu à utilização de mais de 100 domínios e vários métodos para explorar pontos fracos de segurança conhecidos, como injeção de HTML e URL do site. O principal objetivo dos invasores é obter acesso às credenciais do banco de dados armazenadas no arquivo wp-config.php.

Além disso, os ataques são projetados para acessar e baixar arquivos importantes do site, como backups, despejos de banco de dados, arquivos de log e arquivos de erro. Eles também procuram quaisquer ferramentas que sobraram, como adminer e phpmyadmin, que os administradores do site podem ter deixado para trás após realizar tarefas de manutenção. Isso fornece aos invasores uma gama mais ampla de opções para comprometer o site e roubar dados confidenciais.

O Balada Injector Fornece um Backdoor Acesso aos Cibercriminosos

O malware Balada Injector tem a capacidade de gerar usuários administrativos fraudulentos do WordPress, coletar dados armazenados nos hosts subjacentes e deixar backdoors que fornecem acesso persistente ao sistema.

Além disso, o Balada Injector realiza pesquisas extensas nos diretórios de nível superior do sistema de arquivos do site comprometido para identificar diretórios graváveis pertencentes a outros sites. Normalmente, esses sites pertencem ao mesmo webmaster e compartilham a mesma conta de servidor e permissões de arquivo. Assim, comprometer um site pode potencialmente fornecer acesso a vários outros sites, expandindo ainda mais o ataque.

Se esses métodos falharem, a senha do administrador é adivinhada à força por meio de um conjunto de 74 credenciais predeterminadas. Para evitar esses tipos de ataques, os usuários do WordPress são fortemente encorajados a manter o software do site atualizado, remover todos os plugins e temas não utilizados e usar senhas fortes para suas contas de administrador do WordPress.